萌新前端-Django学习之问题集(一)

1.开发环境:

操作系统:Windows 10

编译工具:Visual Studio Code (python)+ Webstorm(html)

服务器: Django 内置测试服务器

开发语言: python 3.5.2

框架:Django 1.10.7

数据库:mysql

2.文件目录结构:

1.个人博客项目:

- Business           -----------       //项目工程名

- blogApp        -----------       //应用程序

+ __pycache__

+ migrations

- static         -----------      //静态文件

+ bootstrap

+ fonts

+ img

+ js

+ sass

- templates   -----------    //模板文件  ( T )

- index

Login_.html           //登录页面

login_index.html    //登录首页

article.html

article_add.html

base.html

bin.html

reseting.html

user.html

__init__.py

admin.py                    //后台

apps.py

models.py                  //模型 ( M )

tests.py

view.py                      //视图 ( V )

- Myblog

+ _pycache_

__init__.py

setting.py                //配置

urls.py                     //链接

view.py                    //主视图

wsgi.py

manage.py                //主管理文件

2.Django官方文档投票程序:

- MyBlog

- MyBlog                //应用程序

+ __pycache__

__init__.py

setting.py

urls.py

wsgi.py

- polls

+ __pycache__

+ migrations

- templates

- polls

detail.html

index.html

results.html

__init__.py

admin.py

apps.py

models.py

tests.py

urls.py

views.py

3.    问题详情:

(1)个人博客项目Django CSRF保护机制:

CSRF原理:

CSRF定义:

Cross-site request forgery 即跨站请求伪造。

过程:

1. 用户C访问存在CSRF漏洞的Web A,输入用户名与密码请求登录。

2.Web A 产生Cookies信息并返回浏览器,用户C登录成功,正常访问Web A。

3.用户C未退出Web A 站点,在同一浏览器中,打开一个访问Web B的Tab页。

4.用户C第二次请求Web B。

5.Web B 返回恶意代码。

6.Web B 获得用户C Cookies信息后,带着用户C Cookies信息访问 Web A

Django中的CSRF防御方法论:

1.在请求中添加Token值,Token是一个随机数。

2.响应并验证Token,验证通过正常登录,验证失败返回403错误,如下:

错误:

Forbidden (403)

CSRF verification failed. Request aborted.

Help

Reason given for failure:

CSRF cookie not set.

原代码:

#urls.py主要urls

urlpatterns=[

url(r'^login/',login,name='login'),

url(r'^login_in/$',login_in,name='login_in'),

]

#views.py视图

deflogin(request):

returnrender_to_response('index/login_.html')

deflogin_in(request):

username=User.objects.get(username=request.POST['username'])

ifusername.password==request.POST['password']:

request.session['user_id']=username.id

returnrender_to_response('index/login_index.html',)

#models.py模型

classUser(models.Model):

username=models.CharField(max_length=50)

password=models.CharField(max_length=50)

classArticle(models.Model):

title=models.CharField(max_length=100)

content=models.CharField(max_length=5000)

date=models.DateTimeField(auto_now=True)

#templates模板目录

#login_.html

{%csrf_token%}

博客登录系统

用户名:

密码:

登录

新代码:

# urls.py主要的urls

urlpatterns=[

url(r'^login/',include('blogApp.urls')),

]

#urls.py二级Urls

urlpatterns=[

url(r'^$',login,name='login'),

url(r'^login_index/$',login_index,name='login_index')

]

#views.py

deflogin(request):

returnrender(request,'index/login_.html')

deflogin_index(request):

username=User.objects.get(username=request.POST['username'])

ifusername.password==request.POST['password']

:

request.session['user_id']=username.id

returnrender(request,'index/login_index.html',)

# templates

#login_.html

{%csrf_token%}

博客登录系统

用户名:

密码:

登录

原代码与新代码:

区别:

1.原代码通过urls.py文件里的url访问相对应的视图函数。即当输入http://localhost:8000/login/调用urls.py里的login函数,login函数响应模板login.html并返回login.html给浏览器从而展现login.html。当完成用户名与密码的输入,点击“登录”,form表单根据action值(/login_in/)访问视图login_in函数,此时提交的form表单的Token值服务器并未获取到,验证失败进而显示403错误。原因很简单url地址不同,如:

http://localhost:8000/login/直接跳转到http://localhost:8000/login_in/;

2.新代码运行的效果:http://localhost:8000/login/跳转到http://localhost:8000/login/login_index/  前者直接换了url地址login_index 没有获取到Token值 后者获取到Token值,从而登录成功。(个人理解 )这是参考官方文档投票程序的理解进而解决了个人博客登录问题。

总结:为什么会导致产生403错误,原因:没有对Django工作机制了解透彻。导致了我在403错误问题出现之后翻阅了Stack Overflow,百度,谷歌都用了还是没有解决而后我又回去翻翻官方文档并跟着教程加深理解,最终在投票应用程序中找到了类似问题并用于自己个人博客项目中,而后完美解决。(萌新前端的苦)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,968评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,601评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,220评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,416评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,425评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,144评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,432评论 3 401
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,088评论 0 261
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,586评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,028评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,137评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,783评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,343评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,333评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,559评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,595评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,901评论 2 345

推荐阅读更多精彩内容